Lizenzierung, Bereitstellung und Kosten: Grundlagen zum Mobile Device Management
Mit zunehmendem Mobility-Trend wächst auch die Bedeutung von Mobile Device Management. Ein Überblick über Lizenzierung, Bereitstellung und Kosten.
Mobile Geräte wie Smartphones und Tablets sind heutzutage aus den Unternehmen nicht mehr wegzudenken und oft gleichberechtigt mit herkömmlichen Endgeräten in die Netzwerke integriert. Die aktuelle Entwicklung lässt auch nicht darauf schließen, dass dieser Umstand in naher Zukunft zurückgeht.
Mobile Endgeräte werden zudem immer leistungsfähiger und sind längst an der Grenze dessen angelangt, was einfache Desktop-Systeme leisten können. Damit steigt die Notwendigkeit, diese Endgeräte über Mobile Device Management (MDM) für den Unternehmenseinsatz abzusichern.
Setzt man mithilfe von MDM maßgeschneiderte Richtlinien auf Smartphones und Tablets durch, kann ein Administrator diese Geräte sehr granular verwalten. Zum Beispiel lässt sich bestimmen, dass sie nur so benutzt werden dürfen, wie es sich mit den Sicherheitsrichtlinien des Unternehmens vereinbaren lässt. Das limitiert die Risiken von Datenverlust, stoppt die Installation unerlaubter Software und verhindert unautorisierten Zugriff auf das mobile Gerät. Somit wird weiterhin unterbunden, dass es nicht-genehmigte Zugriffe auf Unternehmensdaten und -netzwerke gibt.
Mobile Security ist allerdings nicht nur etwas für große Unternehmen, mit steigender Bedeutung mobiler Endgeräte sollten sich zunehmend Unternehmen jeder Größe mit dieser Thematik befassen.
Die wichtigsten Sicherheitsmerkmale von Mobile Device Management
Wenn Sie MDM-Produkte und deren Anbieter evaluieren, sollten Sie nach den folgenden Funktionen Ausschau halten, die MDM-Tools für die grundlegende Absicherung mit sich bringen sollten:
- PIN-Zwang. Das ist das Passwort des jeweiligen Endgerätes. Administratoren können die PIN-Abfrage erzwingen, die PINs verwalten und einzelne Geräte aus der Ferne sperren.
- Vollständige oder Container-basierte Verschlüsselung. Ein MDM-Produkt sollte in der Lage sein, die Verschlüsselung der Laufwerksdaten auf jedem verwalteten Gerät durchzuführen bzw. zu erzwingen.
- Remote Wipe bzw. Löschen aus der Ferne. Im Falle eines Verlusts oder Diebstahls des Endgerätes können die darauf gespeicherten Daten auf diese Weise auch aus der Ferne gelöscht werden.
- Datensicherheit gewährleisten. Damit kann verhindert werden, dass Daten kopiert oder an unberechtigte Personen versendet werden können.
- Erkennung von Jailbreak- oder gerooteten Geräten. Jailbreak- oder gerootete Endgeräte stellen ein enormes Sicherheitsrisiko dar, weil Anwender damit nicht-genehmigte Software installieren können und im Unternehmensnetzwerk verbreiten. Weiterhin ist es möglich, das Betriebssystem des mobilen Geräts zu manipulieren. MDM-Tools sollten entsprechende Geräte also erkennen und im Unternehmensnetzwerk sperren können.
Darüber hinaus gibt es noch zahlreiche weitere mögliche MDM-Funktionen wie zum Beispiel GPS-Tracking, VPN-Integration, Management von Zertifikaten und Wlan-Richtlinen, die ebenfalls nützliche Sicherheitsfunktionen bieten, aber nicht für alle Unternehmen nötig sind. Suchen Sie nach einem MDM-Produkt, sollte es auf jeden Fall die fünf oben genannten Punkte mit sich bringen. Stellen Sie außerdem sicher, dass das in Frage kommende MDM-Produkt alle wichtigen Smartphone- und Tablet-Plattformen unterstützt, die das Unternehmen einsetzt oder künftig einsetzen und somit absichern möchte, neben Android also vor allem auch iOS und Windows Phone.
Auch wenn Mobile Device Management ziemlich viele Security-Aufgaben übernehmen kann, erledigt es natürlich nicht alles. Zum Beispiel denken viele Unternehmen, dass Web-Filtering eine Standardfunktion von MDM sei. Die meisten der verschiedenen MDM-Anbieter verlassen sich an dieser Stelle allerdings auf ein separates System, um diese Funktion durchzuführen.
Eine weitere Funktionalität, die fälschlicherweise oft als gegeben angesehen wird, ist das Ausführen von Daten-Backups. Anbieter mobiler Security-Produkte sichern die Daten der mobilen Geräte aber eher selten. Sind die Daten damit erst einmal verloren, lässt sich daran meist nicht mehr viel ändern.
Daher sollte in jedem Fall ein separates Backup-System für die Sicherung der Daten genutzt werden. In der Regel erledigen das Apps von Drittanbietern und entsprechende Konfigurationseinstellungen, MDM-Produkte können dies aber standardmäßig normalerweise nicht. Sie sehen also, dass Sie trotz MDM-Produkten meist trotzdem noch zusätzliche mobile Security-Software benötigen werden.
Optionen zur Lizenzierung von MDM-Produkten
Im Grunde gibt es zwei Möglichkeiten, MDM-Software im Unternehmen zu lizenzieren: Eine Lizenz pro Gerät oder mehrere Geräte pro Lizenz.
Für kleinere Firmen mit wenigen Anwendern funktioniert die erste Option, eine Lizenz pro Gerät, sehr gut. Das gilt auch für Unternehmen, die Smartphones und Tablets klar einem Mitarbeiter zuordnen können. Setzt eine Organisation ein MDM-Tool nur für Smartphones ein und der Anwender wird mit Sicherheit kein andere mobiles Gerät im Netzwerk verwenden, dann ist diese Methode ebenfalls vorteilhaft.
Der Wunsch nach Flexibilität bei der Nutzung mobiler Geräte steigt allerdings ständig. Das gilt vor allen Dingen, seitdem auch Bereitstellungsmethoden wie Bring Your Own Device (BYOD) im Spiel ist. Somit ist es oft notwendig, mehrere Geräte (oft drei) mittels einer einzelnen Anwenderlizenz zu adressieren, wenn das Unternehmen nicht für jedes Gerät eine eigene Lizenz erwerben möchte. Eine mögliche Kombination wäre beispielsweise Smartphone, Tablet und Notebook.
Anfangs ist dieser Ansatz meist teurer als der Erwerb einzelner Lizenzen. Allerdings kann die anwenderbasierte Lizenzierung im Laufe der Zeit einiges an Geld sparen, wenn Mitarbeiter mehrere mobile Geräte nutzen.
Bereitstellungsmöglichkeiten von MDM-Tools
Am häufigsten installiert man MDM-Produkte mithilfe eines virtuellen Abbildes. Die meisten Anwender bieten aber auch auf Wunsch ein hardwarebasiertes Produkt an, immer häufiger kommen MDM-Lösungen aber auch cloudbasiert zum Einsatz.
Die virtuellen Abbilder werden normalerweise in den Formaten OVA (Open Virtual Appliance) oder OVF (Open Virtualization Format) ausgeliefert. Es handelt sich dabei um komplett in sich geschlossene Betriebssysteme, womit Unternehmen die Software in existierende virtuelle Umgebungen importieren können. Mithilfe der virtuellen Abbilder lässt sich die MDM-Software unkompliziert und zügig ausrollen, während das Ressourcen-Management beim Kunden liegt.
Daneben gibt es aber natürlich auch Unternehmen, die keine virtuelle Umgebung im Betrieb haben oder das MDM-System aus Gründern der Performance oder Sicherheit auf isolierter Hardware betreiben wollen. In solchen Fällen liefern MDM-Anbieter ein dediziertes MDM-System mit detaillierten Anweisungen an den jeweiligen Kunden aus, wie die Hardware konfiguriert werden muss.
Ein MDM-System am eigenen Standort zu betreiben kann unter Umständen sehr mühsam sein. Deswegen haben größere MDM-Anbieter begonnen, ihre Produkte als Software-as-a-Service (SaaS) in der Cloud anzubieten. Diese Bereitstellungsmöglichkeit gewinnt zunehmend an Beliebtheit, vor allen Dingen für Unternehmen mit begrenzten Ressourcen.
Mobile Device Management ausrollen
Sobald ein MDM-Produkt im Netzwerk als virtuelles Abbild, Hardware oder über die Cloud installiert ist, müssen Administratoren einen Implementierungsplan für alle zu verwaltenden Endgeräte aufstellen. Eine langsame Herangehensweise ist hierbei eine kluge Entscheidung, da es sowohl für Anwender als auch für Administratoren eine gewisse Lernkurve geben wird.
Für alle MDM-Produkte gibt es Apps, die Mitarbeiter entweder via Google Play oder Apple App Store herunterladen und installieren können. Sobald der Download abgeschlossen ist, bekommen die Anwender eine E-Mail oder eine SMS-Nachricht mit weiteren Installationsanweisungen. Wird die App heruntergeladen und authentifiziert sich, in der Regel via LDAP oder einem Einmal-Passwort, wird die MDM-Richtlinie mit den vorkonfigurierten Optionen auf das mobile Gerät eingespielt.
Ab diesem Zeitpunkt befindet sich das mobile Gerät unter der Kontrolle des MDM-Tools und kann von den IT-Mitarbeitern administriert werden.
Wer verwaltet mobile Security-Lösungen?
Je nach Unternehmensgröße liegt die Verantwortung beim Management von MDM-Software und mobilen Security-Lösungen in der Hand verschiedener Teams. Gerade große Unternehmen haben meist einen speziellen Sicherheitsverantwortlichen für mobile Endgeräte, während kleine oder mittelständische Unternehmen die Verantwortung oft dem IT-Administrator übertragen, der damit noch mehr um die Ohren hat.
Es kommt bei den Administratoren natürlich auch darauf an, ob man für das Management der mobilen Security eine dedizierte Ressource benötigt oder nicht. Beim Mittelstand sieht man recht häufig, dass verschiedene Gruppen bestimmte Teile eines MDM-Systems verwalten. So könnte beispielsweise das Security-Team für das Erstellen der mobilen Sicherheitsrichtlinien zuständig sein, während der technische Support bei Problemen oder betrieblichen Vorfällen hilft, nachdem das mobile Gerät ausgegeben wurde.
Die Kosten für den Einsatz von MDM-Lösungen
Wie bei allen IT-Security-Produkten gibt es auch hier direkte und indirekte Kosten zu bedenken, wenn man mobile Sicherheitsrisiken durch Mobile Device Management adressiert.
Die direkten Kosten für die erste Implementierung von Mobile Device Management würden den Kaufpreis für das Produkt selbst beinhalten. Das gilt auch für die potenziell neue Hardware, auf der das Produkt läuft, sowie für anfängliche Support-Kosten, Tests und eventuell professionelle Management-Services.
Zu den indirekten Kosten für den Betrieb von MDM gehören die zusätzlichen Support-Stunden, die man für Problemlösungen, für die Installation und die Wartung des Systems braucht. Je nach Installationsgröße kommt möglicherweise noch zusätzliches Training hinzu oder Sie müssen weitere Mitarbeiter einstellen, um das Produkt komplett unterstützen zu können.
Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!
